问题描述
我已经使用Django,Vue.js构建了一个Web应用程序并将其部署在Heroku上。这是一个用于大型慈善机构的网络应用程序,您可以通过向该慈善机构捐款来赢取奖金。收集了以下信息:
我猜这很简单。没有存储任何付款信息的原因是,单击“捐赠”后,用户将被重定向到JustGiving(已实现JustGiving API),在该处输入付款信息,然后将其重定向回我们的网站。
发送了一些电子邮件:
这是我第一次正确发布Web应用程序,因此想询问我需要采取哪些步骤来确保Web应用程序合法。我知道我可能必须有一个“ cookies”警报,以及一个用户可以选择是否接收电子邮件的区域。
我还必须采取什么其他步骤来确保自己没有违反任何规则?
解决方法
GDPR可能让人感到复杂,但是由于您在这里收集的信息很少,因此不必一定要这么做。遵循开发人员的最佳实践,应确保您在安全方面进行了尽职调查。
为了确保您和慈善机构在违规情况下的安全,我将确保您之间有一份签署的文件,阐明了明确的责任,并详细说明了您将持有这些信息的时间。例如,如果某人签约但没有中奖,那么您什么时候认为该人的信息不必要?
我会按照ICO对慈善机构的指导进行工作-https://ico.org.uk/for-organisations/in-your-sector/charity/charities-faqs/
,GDPR遵从性是由授予用户有关其数据的八项权利决定的。您需要确保保留所有权利:
知情权
您对用户数据的使用必须透明。您收集什么数据,将其用作什么以及与谁交换数据?这通常记录在您网站的隐私权政策中。
访问权
如果有人要求您提供数据,则必须将其提供给他们。您提供的方式必须是常用的格式,例如JSON或CSV。
纠正权
如果有关用户的数据不正确,则必须让他们更正。
删除权
如果没有充分的理由保留数据,用户可以要求删除或删除其数据。在您的示例中,这相当于删除其帐户。
限制处理的权利
用户可以要求您阻止对其数据的任何进一步处理;您可以继续存储它,但是不能对其进行其他业务操作。
携带权
类似于上面的访问权,您必须允许用户出于自己的目的导出和重用其个人数据。
反对的权利
用户可以反对将任何个人信息用于他们不想要的目的,例如用于分析或营销。
个人可以反对使用其个人信息。这包括出于直接营销,研究和统计目的。
与自动决策有关的权利
这定义了使用用户数据作为自动决策(例如发放信贷或决定是否可以将其列入候补名单)的一部分时必须满足的要求。
但是,最终,遵守GDPR是一个法律问题,无法通过技术角度来回答。